6月27日晚间,大规模勒索蠕虫病毒攻击重新席卷全球。据消息显示,名为”Petya”的勒索病毒变种又开始肆虐,乌克兰、俄罗斯等欧洲多国已大面积感染。据360方面提供的数据显示,在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。根据比特币交易市场的公开数据显示,病毒爆发最初一小时就有10笔赎金付款。据360安全中心监测,目前国内也出现了病毒传播迹象。
与5月爆发的Wannacry相比,Petya勒索病毒变种的传播速度更快。它不仅使用了NSA“永恒之蓝”等黑客武器攻击系统漏洞,还会利用“管理员共享”功能在内网自动渗透。在欧洲国家重灾区,新病毒变种的传播速度达到每10分钟感染5000余台电脑,多家运营商、石油公司、零售商、机场、ATM机等企业和公共设施已大量沦陷,甚至乌克兰副总理的电脑也遭到感染。
360首席安全工程师郑文彬介绍说,Petya勒索病毒最早出现在2016年初,以前主要利用电子邮件传播。最新爆发的类似Petya的病毒变种则具备了全自动化的攻击能力,即使电脑打齐补丁,也可能被内网其他机器渗透感染,必须开启360等专业安全软件进行拦截,才能确保电脑不会中毒。
据阿里云安全团队表示,其第一时间拿到病毒样本,分析显示这次爆发的是一种新型勒索蠕虫病毒。电脑、服务器感染这种病毒后会被加密特定类型文件,导致系统无法正常运行。
目前,该勒索蠕虫通过Windows漏洞进行传播,一台中招可能就会感染局域网内其它电脑。
不同于传统勒索软件加密文件的行为,“必加”(Petya)是一个采用磁盘加密方式,进行敲诈。其早期版本只对MBR和磁盘分配表进行加密,并谎称全盘加密。其目前版本是否能完成全盘加密,安天分析小组尚在验证之中。
鉴于初始爆发地区的地缘敏感性、具备一定强度的扩散能力和所处的特殊攻击时点,互联网安全平台安天目前认为这次事件不能完全排除是单纯经济目的的恶意代码攻击事件,亦不能直接判断是针对特定地区的定向攻击。
据介绍,“必加”(Petya)病毒所达成的后果,在勒索软件中是较为特殊的。其将导致计算机系统不能进入正常的系统启动流程,其即可达成勒索目的,其同样可以作为一种破坏载荷。由于其加密扇区,伪装成了系统卷出问题的磁盘检查过程,因此这种社工技巧,可以保证其完成加密作业的全程。而一旦其作为破坏载荷来使用,就同样可以达成和此前在乌克兰停电、索尼攻击事件等破坏引导记录导致系统不能自举的同样效果。鉴于本次事件所发生的特殊的时点,因此安天分析小组认为,目前并不能得出本事件是完全以经济勒索为目的恶意代码攻击事件的结论,而还需要更多进一步的分析。
阿里云安全团队表示,所有在IDC托管或自建机房有服务器的企业,如果采用了Windows操作系统,立即安装微软补丁。
安全补丁对个人用户来说相对简单。只需自学装载,就能完成。对大型企业或组织机构,面对成百上千台机器,最好还是能使用客户端进行集中管理。比如,阿里云的安骑士就提供实时预警、防御、一键修复等功能。可靠的数据备份可以将勒索软件带来的损失最小化。建议启用阿里云快照功能对数据镜像备份,并同时做好安全防护,避免被感染和损坏。
互联网安全专家认为,面对这种局面,与其夸大病毒本身的能力和威胁,不如认真思考安全基础工作的是否扎实。其应对不能更多立足于灾难响应、数据恢复甚至是破解解密,而必须立足于尽可能的防患于未然,最大程度将易被攻陷的节点减到最小。
不过互联网安全专家也表示,中国用户面对这次的病毒冲击影响将会较小,国内大部分安全软件能够全面拦截Petya等各类勒索病毒及变种,其中360方面基于对产品防护能力的信心,更在全球范围内独家推出“反勒索服务”,承诺如果防不住病毒,360负责赔赎金,给用户提供免费保险。